A  nadie se le escapa que el panorama de la ciberseguridad ha cambiado notablemente desde la década pasada hasta hoy. No sólo las amenazas se han hecho más y más recurrentes, sino que su nivel de sofisticación ha ido en aumento. En paralelo, la progresiva digitalización de procesos antaño alejados de esta tecnología y la creciente heterogeneidad de dispositivos conectados hacen que la superficie de ataque sea cada vez menos fácil de proteger. Cabe preguntarse entonces, si el contexto ha evolucionado tanto en estos diez años, por qué la regulación que aborda el fenómeno sigue anclada en el ayer.

Europa es un caso paradigmático de ello. En la actualidad,  rige la estrategia europea de ciberseguridad, ideada en 2013, y ampliada con una directiva, la NIS (Network and Information Security) de 2016, aunque comenzada a negociar también en 2013. Esta norma obligaba a los países miembro a equiparse de las medidas necesarias en materia de seguridad informática, a contar con un equipo de respuesta ante incidentes (CSIRT) y una autoridad competente para la aplicación de la propia directiva, fomentaba la cooperación  y el intercambio de información entre los estados y la concienciación ciudadana sobre este riesgo invisible. Además, se obligaba a los gigantes de internet y a los operadores de telecomunicaciones a responsabilizarse de la seguridad de sus servicios en caso de un ataque.

Se trata de una norma muy amplia, ambiciosa hace diez años, pero que a fecha de hoy se ha quedado notablemente corta. Algo que reconoce, sin titubear, Jakub Boratynski, director de la unidad de Ciberseguridad y Privacidad Digital en la Comisión Europea: "Tenemos bases legales muy sólidas sobre las que seguir construyendo. Pero tenemos que asumir que la tecnología digital es nuestra infraestructura más crítica, algo que no estaba tan presente hace unos años e incluso antes de la COVID-19. Y, además, tenemos que tener en cuenta que no hay una respuesta correcta a cuál es el nivel de ciberseguridad correcta, sino que depende de un contexto muy cambiante".

Este experto es la figura clave en la estrategia de seguridad cibernética de la UE y comanda la cooperación de la Comisión Europea con la agencia a cargo de esta materia en el Viejo Continente (ENISA). También suyas son gran parte de las ideas que conforman la nueva Estrategia de Seguridad Cibernética de la UE, presentada en mayo de este año en el marco de medidas para la reconstrucción europea tras la pandemia del coronavirus. "La adopción masiva de las tecnologías digitales nos plantea grandes desafíos en materia de ciberseguridad. por suerte, no hemos tenido que enfrentarnos a una gran crisis en estas lides, pero sabemos que la situación puede volverse muy seria en cualquier momento", explica Boratynski, presente en un encuentro virtual organizado recientemente por Kaspersky. "En ese sentido, la política europea en ciberseguridad siempre trata de lo mismo: intentar encontrar el equilibrio entre incentivos y restricciones para mantener el riesgo en un nivel aceptable. Sin olvidar el desafío constante de atribuir responsabilidades de manera proporcional a compañías, gobiernos y proveedores de seguridad al mismo tiempo que fomentamos un entorno colaborativo para luchar contra las ciberamenazas".

Precisamente uno de los cambios radicales que se espera de la revisión que la Unión Europea está haciendo de su estrategia en ciberseguridad radica ahí: ampliar el foco de trabajo más allá de lo presente. "Hasta ahora, las miras iban principalmente hacia la compañía que gestionaba los riesgos de ciberseguridad pero vemos cada vez más razones para ir en otra dirección. Tenemos que mirar dentro de los productos, tanto productos físicos como el software. Por eso estamos desarrollando certificaciones de seguridad que avalen esta condición, basados en criterios comunes, empezando por tecnologías críticas como son la 5G y los servicios cloud", detalla el directivo comunitario, quien también quiere adelantarse a los posibles desafíos que genere la llegada del internet de las cosas.  "Por supuesto queremos abordar las dimensiones de privacidad de los objetos conectados, muchos de ellos sin apenas estándares de seguridad, como pasa por ejemplo con los juguetes".

Esta revisión "en profundidad" de la directiva NIS vendrá acompañada de más medidas en el corto plazo para esa ciberseguridad común de la UE. Es el caso, sin ir más lejos, del reciente anteproyecto "para una respuesta de emergencia rápida", con el que la Comisión Europea pretende tener un plan de acción en caso de que se produzca un ciberincidente transfronterizo a gran escala, incluyendo la coordinación de los organismos nacionales y continentales para solventar la situación.